Abo
  • Services:
Anzeige
Gefahr für Git und ähnliche Tools: Mittels manipulierter SSH-URLs kann ein bösartiger Server Code auf dem Client ausführen.
Gefahr für Git und ähnliche Tools: Mittels manipulierter SSH-URLs kann ein bösartiger Server Code auf dem Client ausführen. (Bild: GIT Logo / Jason Long/CC-BY 3.0)

Git und Co: Bösartige Code-Repositories können Client angreifen

Gefahr für Git und ähnliche Tools: Mittels manipulierter SSH-URLs kann ein bösartiger Server Code auf dem Client ausführen.
Gefahr für Git und ähnliche Tools: Mittels manipulierter SSH-URLs kann ein bösartiger Server Code auf dem Client ausführen. (Bild: GIT Logo / Jason Long/CC-BY 3.0)

Mittels spezieller SSH-URLs kann ein Angreifer Code in den Client-Tools von Quellcode-Verwaltungssystemen ausführen. Der Fehler betrifft praktisch alle verbreiteten Quellcode-Verwaltungssysteme wie Git, Subversion, Mercurial und CVS.

Ein Mitarbeiter der Firma Recurity Labs hat eine Sicherheitslücke gefunden, die in ähnlicher Weise alle gängigen Quellcode-Verwaltungssysteme betrifft. Ursprünglich entdeckt wurde der Bug in einer Erweiterung namens Git LFS, die dazu dient, große Dateien in Git-Repositories zu verwalten. Doch wie sich herausstellt, sind auch Git selbst sowie dessen Konkurrenten Subversion und Mercurial betroffen. Auch das uralte CVS hat einen ähnlichen Bug.

Anzeige

Repositories, auf die über SSH zugegriffen wird, können in Git mit einer URL der Form ssh:// referenziert werden. Wenn man in diese URL Kommandozeilenoptionen mit übergibt, werden diese ungefiltert an SSH weitergegeben. Eine solche URL könnte dann etwa so aussehen: ssh://-oProxyCommand=gnome-calculator

ProxyCommand in URL erlaubt Codeausführung

In diesem Fall wird die Option ProxyCommand von OpenSSH gesetzt. Diese Option ist eigentlich dazu gedacht, die Ausgabe von Befehlen über eine SSH-Verbindung zu tunneln. Sie kann hier aber mißbraucht werden, um Code auszuführen.

Relevant ist dieses Szenario, wenn ein Nutzer Code von einem nicht vertrauenswürdigen Server auscheckt, der den Angriff durchführt. Im Fall von Git kann der Server etwa in das Repository ein Git-Submodul mit einer solchen bösartigen URL einfügen und damit Code auf dem Client ausführen.

Git, Subversion und Mercurial haben koordiniert neue Versionen veröffentlicht, die die entsprechenden Lücken beheben. Diese haben die IDs CVE-2017-1000117 (Git), CVE-2017-9800 (Subversion) und CVE-2017-1000116 (Mercurial).

Auf der Mailingliste oss-security wies ein Nutzer darauf hin, dass CVS von dem Problem ebenfalls betroffen ist. CVS war lange Zeit ein sehr beliebtes Quellcode-Verwaltungstool, inzwischen wird es jedoch nur noch von wenigen Projekten genutzt. Die letzte Version wurde 2005 veröffentlicht. Mit einem offiziellen Fix ist also eher nicht zu rechnen.


eye home zur Startseite
RandomCitizen 14. Aug 2017

Das kenne ich gar nicht. Wo kann man -- eingeben und was macht das?



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart-Feuerbach
  2. Jetter AG, Ludwigsburg
  3. Daimler AG, Stuttgart
  4. Media Carrier GmbH, München


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 849,00€ (UVP € 1.298,99€)

Folgen Sie uns
       


  1. Augmented Reality

    Google stellt Project Tango ein

  2. Uber vs. Waymo

    Uber spionierte Konkurrenten aus

  3. Die Woche im Video

    Amerika, Amerika, BVG, Amerika, Security

  4. HTTPS

    Fritzbox bekommt Let's Encrypt-Support und verrät Hostnamen

  5. Antec P110 Silent

    Gedämmter Midi-Tower hat austauschbare Staubfilter

  6. Pilotprojekt am Südkreuz

    De Maizière plant breiten Einsatz von Gesichtserkennung

  7. Spielebranche

    WW 2 und Battlefront 2 gewinnen im November-Kaufrausch

  8. Bauern

    Deutlich über 80 Prozent wollen FTTH

  9. Linux

    Bolt bringt Thunderbolt-3-Security für Linux

  10. Streit mit Bundesnetzagentur

    Telekom droht mit Ende von kostenlosem Stream On



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
2-Minuten-Counter gegen Schwarzfahrer: Das sekundengenaue Handyticket ist möglich
2-Minuten-Counter gegen Schwarzfahrer
Das sekundengenaue Handyticket ist möglich

Kilopower: Ein Kernreaktor für Raumsonden
Kilopower
Ein Kernreaktor für Raumsonden
  1. Raumfahrt Nasa zündet Voyager-Triebwerke nach 37 Jahren
  2. Bake in Space Bloß keine Krümel auf der ISS
  3. Raumfahrtpionier Der Mann, der lange vor SpaceX günstige Raketen entwickelte

Kingdom Come Deliverance angespielt: Und täglich grüßt das Mittelalter
Kingdom Come Deliverance angespielt
Und täglich grüßt das Mittelalter

  1. Re: Mit der Fritz ins Netz

    Teebecher | 03:29

  2. Re: Günstige Alternative?

    YepItsMeSuckers | 03:23

  3. Re: Wo ist da nun das Problem?

    gaym0r | 03:04

  4. Sind Sie finanziell am Ende

    firstaccess | 02:51

  5. Sind Sie finanziell am Ende

    firstaccess | 02:48


  1. 12:47

  2. 11:39

  3. 09:03

  4. 17:47

  5. 17:38

  6. 16:17

  7. 15:50

  8. 15:25


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel